[要約] RFC 9478 は、IKEv2 において Mandatory Access Control (MAC) セキュリティラベルを交渉するための新しい Traffic Selector Type (TS Type) を定義し、Labeled IPsec に対応することを目的としています。
Internet Engineering Task Force (IETF) P. Wouters
Request for Comments: 9478 Aiven
Category: Standards Track S. Prasad
ISSN: 2070-1721 Red Hat
October 2023
This document defines a new Traffic Selector Type (TS Type) for the Internet Key Exchange Protocol version 2 (IKEv2) to add support for negotiating Mandatory Access Control (MAC) security labels as a Traffic Selector of the Security Policy Database (SPD). Security Labels for IPsec are also known as "Labeled IPsec". The new TS Type, TS_SECLABEL, consists of a variable length opaque field that specifies the security label.
このドキュメントでは、インターネットキーエクスチェンジプロトコルバージョン2(IKEV2)の新しいトラフィックセレクタータイプ(TSタイプ)を定義して、セキュリティポリシーデータベース(SPD)のトラフィックセレクターとして、必須アクセス制御(MAC)セキュリティラベルを交渉するためのサポートを追加します。IPSECのセキュリティラベルは、「IPSecというラベル」としても知られています。新しいTSタイプのTS_SECLABELは、セキュリティラベルを指定する可変長さの不透明フィールドで構成されています。
This is an Internet Standards Track document.
これは、インターネット標準トラックドキュメントです。
This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Further information on Internet Standards is available in Section 2 of RFC 7841.
このドキュメントは、インターネットエンジニアリングタスクフォース(IETF)の製品です。IETFコミュニティのコンセンサスを表しています。公開レビューを受けており、インターネットエンジニアリングステアリンググループ(IESG)からの出版が承認されています。インターネット標準の詳細については、RFC 7841のセクション2で入手できます。
Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at https://www.rfc-editor.org/info/rfc9478.
このドキュメントの現在のステータス、任意のERRATA、およびそのフィードバックを提供する方法に関する情報は、https://www.rfc-editor.org/info/rfc9478で取得できます。
Copyright (c) 2023 IETF Trust and the persons identified as the document authors. All rights reserved.
著作権(c)2023 IETF Trustおよび文書著者として特定された人。無断転載を禁じます。
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (https://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Revised BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Revised BSD License.
このドキュメントは、BCP 78およびIETFドキュメント(https://trustee.ietf.org/license-info)に関連するIETF Trustの法的規定の対象となります。この文書に関するあなたの権利と制限を説明するので、これらの文書を注意深く確認してください。このドキュメントから抽出されたコードコンポーネントには、セクション4.Eで説明されている法的規定のセクション4.Eで説明されており、改訂されたBSDライセンスで説明されている保証なしで提供されるように、改訂されたBSDライセンステキストを含める必要があります。
1. Introduction
1.1. Requirements Language
1.2. Traffic Selector Clarification
1.3. Security Label Traffic Selector Negotiation
2. TS_SECLABEL Traffic Selector Type
2.1. TS_SECLABEL Payload Format
2.2. TS_SECLABEL Properties
3. Traffic Selector Negotiation
3.1. Example TS Negotiation
3.2. Considerations for Using Multiple TS Types in a TS
4. Security Considerations
5. IANA Considerations
6. References
6.1. Normative References
6.2. Informative References
Acknowledgements
Authors' Addresses
In computer security, Mandatory Access Control (MAC) usually refers to systems in which all subjects and objects are assigned a security label. A security label is composed of a set of security attributes. Along with a system authorization policy, the security labels determine access. Rules within the system authorization policy determine whether the access will be granted based on the security attributes of the subject and object.
コンピューターセキュリティでは、必須アクセス制御(MAC)とは、通常、すべてのサブジェクトとオブジェクトにセキュリティラベルが割り当てられるシステムを指します。セキュリティラベルは、セキュリティ属性のセットで構成されています。システム認証ポリシーに加えて、セキュリティラベルはアクセスを決定します。システム認証ポリシー内のルールは、主題とオブジェクトのセキュリティ属性に基づいてアクセスが許可されるかどうかを決定します。
Historically, security labels used by Multi-Level Secure (MLS) systems are comprised of a sensitivity level (or classification) field and a compartment (or category) field, as defined in [RFC5570]. As MAC systems evolved, other MAC models gained popularity. For example, SELinux, a Flux Advanced Security Kernel (FLASK) implementation, has security labels represented as colon-separated ASCII strings composed of values for identity, role, and type. The security labels are often referred to as security contexts.
歴史的に、マルチレベルSecure(MLS)システムで使用されるセキュリティラベルは、[RFC5570]で定義されている感度レベル(または分類)フィールドとコンパートメント(またはカテゴリ)フィールドで構成されています。Macシステムが進化するにつれて、他のMacモデルが人気を博しました。たとえば、Flux Advanced Security Kernel(Flask)実装であるSelinuxは、アイデンティティ、役割、およびタイプの値で構成されるコロン分離ASCII文字列として表されるセキュリティラベルを備えています。セキュリティラベルは、多くの場合、セキュリティコンテキストと呼ばれます。
Traffic Selector (TS) payloads specify the selection criteria for packets that will be forwarded over the newly set up IPsec Security Association (SA) as enforced by the Security Policy Database (SPD) [RFC4301].
トラフィックセレクター(TS)ペイロードは、セキュリティポリシーデータベース(SPD)[RFC4301]によって実施されているように、新しくセットアップされたIPSECセキュリティ協会(SA)に転送されるパケットの選択基準を指定します。
This document specifies a new TS Type, TS_SECLABEL, for IKEv2 that can be used to negotiate security labels as additional selectors for the SPD to further restrict the type of traffic that is allowed to be sent and received over the IPsec SA.
このドキュメントは、IKEV2用の新しいTSタイプのTS_SECLABELを指定します。これは、IPSEC SAを介して送信および受信する可能性のあるトラフィックの種類をさらに制限するために、SPDの追加セレクターとしてセキュリティラベルを交渉するために使用できます。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "NOT RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in BCP 14 [RFC2119] [RFC8174] when, and only when, they appear in all capitals, as shown here.
この文書のキーワード "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", および "OPTIONAL" はBCP 14 [RFC2119] [RFC8174]で説明されているように、すべて大文字の場合にのみ解釈されます。
The negotiation of Traffic Selectors is specified in Section 2.9 of [RFC7296], where it defines two TS Types (TS_IPV4_ADDR_RANGE and TS_IPV6_ADDR_RANGE). The TS payload format is specified in Section 3.13 of [RFC7296]. However, the term "Traffic Selector" is used to denote the TS payloads and individual Traffic Selectors of that payload. Sometimes, the exact meaning can only be learned from context or if the item is written in plural ("Traffic Selectors" or "TSes"). This section clarifies these terms as follows:
トラフィックセレクターの交渉は、[RFC7296]のセクション2.9で指定されており、2つのTSタイプ(TS_IPV4_ADDR_RANGEおよびTS_IPV6_ADDR_RANGE)を定義します。TSペイロード形式は、[RFC7296]のセクション3.13で指定されています。ただし、「トラフィックセレクター」という用語は、TSペイロードとそのペイロードの個々のトラフィックセレクターを示すために使用されます。時には、正確な意味はコンテキストからのみ学習できます。または、アイテムが複数形で記述されている場合(「トラフィックセレクター」または「TSE」)。このセクションでは、これらの用語を次のように明確にします。
A Traffic Selector (capitalized, no acronym) is one selector for traffic of a specific Traffic Selector Type (TS Type). For example, a Traffic Selector of TS Type TS_IPV4_ADDR_RANGE for UDP (protocol 17) traffic in the IP network 198.51.100.0/24 covering all ports is denoted as (17, 0, 198.51.100.0-198.51.100.255).
トラフィックセレクター(大文字、頭字語なし)は、特定のトラフィックセレクタータイプ(TSタイプ)のトラフィック用の1つのセレクターです。たとえば、すべてのポートをカバーするIPネットワーク198.51.100.0/24のTSタイプTS_IPV4_ADDR_RANGE(プロトコル17)のトラフィックのトラフィックセレクターは(17、0、18.51.100.0-198.51.100.255)として示されています。
A TS payload is a set of one or more Traffic Selectors of the same or different TS Types. It typically contains one or more of the TS Type of TS_IPV4_ADDR_RANGE and/or TS_IPV6_ADDR_RANGE. For example, the above Traffic Selector by itself in a TS payload is denoted as TS((17, 0, 198.51.100.0-198.51.100.255))
TSペイロードは、同じまたは異なるTSタイプの1つ以上のトラフィックセレクターのセットです。通常、TS_IPV4_ADDR_RANGEおよび/またはTS_IPV6_ADDR_RANGEの1つ以上のTSタイプが含まれます。たとえば、TSペイロードの上記のトラフィックセレクターは、TSとして示されます((17、0、198.51.100.0-198.51.100.255))
The negotiation of Traffic Selectors is specified in Section 2.9 of [RFC7296] and states that the TSi/TSr payloads MUST contain at least one TS Type. This document adds a new TS Type of TS_SECLABEL that is valid only with at least one other TS Type. That is, it cannot be the only TS Type present in a TSi or TSr payload. It MUST be used along with an IP address selector type, such as TS_IPV4_ADDR_RANGE and/or TS_IPV6_ADDR_RANGE.
トラフィックセレクターの交渉は[RFC7296]のセクション2.9で指定されており、TSI/TSRペイロードには少なくとも1つのTSタイプが含まれている必要があると述べています。このドキュメントでは、少なくとも1つの他のTSタイプでのみ有効な新しいTSタイプのTS_SECLABELを追加します。つまり、TSIまたはTSRペイロードに存在する唯一のTSタイプではありません。TS_IPV4_ADDR_RANGEやTS_IPV6_ADDR_RANGEなどのIPアドレスセレクタータイプとともに使用する必要があります。
This document defines a new TS Type, TS_SECLABEL, that contains a single new opaque Security Label.
このドキュメントでは、新しいTSタイプのTS_SECLABELを定義します。これには、単一の新しいオパークセキュリティラベルが含まれています。
1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+---------------+---------------+-------------------------------+
| TS Type | Reserved | Selector Length |
+---------------+---------------+-------------------------------+
| |
~ Security Label* ~
| |
+---------------------------------------------------------------+
Figure 1: Labeled IPsec Traffic Selector
図1:ラベル付きIPSECトラフィックセレクター
Note: All fields other than TS Type and Selector Length depend on the TS Type. The fields shown are for TS Type TS_SECLABEL, which is the selector that this document defines.
注:TSタイプとセレクターの長さ以外のすべてのフィールドは、TSタイプに依存します。示されているフィールドは、このドキュメントが定義するセレクターであるTSタイプTS_SECLABEL用です。
TS Type (one octet):
TSタイプ(1オクテット):
Set to 10 for TS_SECLABEL.
TS_SECLABELの10に設定します。
Selector Length (two octets, unsigned integer):
セレクターの長さ(2オクテット、符号なし整数):
Specifies the length of this Traffic Selector substructure including the header.
ヘッダーを含むこのトラフィックセレクターの下部構造の長さを指定します。
Security Label:
セキュリティラベル:
An opaque byte stream of at least one octet.
少なくとも1つのオクテットの不透明なバイトストリーム。
The TS_SECLABEL TS Type does not support narrowing or wildcards. It MUST be used as an exact match value.
TS_SECLABEL TSタイプは、狭窄やワイルドカードをサポートしません。正確な一致値として使用する必要があります。
The TS_SECLABEL TS Type MUST NOT be the only TS Type present in the TS payload, as TS_SECLABEL is complimentary to another type of Traffic Selector. There MUST be an IP address Traffic Selector Type in addition to the TS_SECLABEL TS Type in the TS payload. If a TS payload is received with only TS_SECLABEL TS Types, the exchange MUST be aborted with an Error Notify message containing TS_UNACCEPTABLE.
TS_SECLABELは、TS_Seclabelが別のタイプのトラフィックセレクターに無料であるため、TS_SECLABEL TSタイプがTSペイロードに存在する唯一のTSタイプではないはずです。TSペイロードには、TS_SECLABEL TSタイプに加えて、IPアドレストラフィックセレクタータイプが必要です。TSペイロードがTS_SECLABEL TSタイプのみで受信された場合、TS_UNACTEMESを含むエラー通知メッセージで交換を中止する必要があります。
The Security Label contents are opaque to the IKE implementation. That is, the IKE implementation might not have any knowledge regarding the meaning of this selector other than recognizing it as a type and opaque value to pass to the SPD.
セキュリティラベルの内容は、IKE実装に不透明です。つまり、IKEの実装は、SPDに渡すタイプと不透明な値として認識する以外に、このセレクターの意味に関する知識を持たない場合があります。
A zero-length Security Label MUST NOT be used. If a received TS payload contains a TS Type of TS_SECLABEL with a zero-length Security Label, that specific TS payload MUST be ignored. If no other TS payload contains an acceptable TS_SECLABEL TS Type, the exchange MUST be aborted with a TS_UNACCEPTABLE Error Notify message. A zero-length Security Label MUST NOT be interpreted as a wildcard security label.
ゼロの長さのセキュリティラベルを使用しないでください。受信されたTSペイロードに、ゼロレングスのセキュリティラベルを備えたTSタイプのTS_SECLABELが含まれている場合、その特定のTSペイロードは無視する必要があります。他のTSペイロードに許容可能なTS_SECLABEL TSタイプが含まれていない場合、ExchangeはTS_UNACTESPABLEエラー通知メッセージで中止する必要があります。ゼロの長さのセキュリティラベルは、ワイルドカードのセキュリティラベルとして解釈してはなりません。
If multiple Security Labels are allowed for a Traffic Selector's IP address range, protocol, and port range, the initiator includes all of these acceptable Security Labels. The responder MUST select exactly one of the Security Labels.
トラフィックセレクターのIPアドレス範囲、プロトコル、およびポート範囲に複数のセキュリティラベルが許可されている場合、イニシエーターにはこれらすべての許容可能なセキュリティラベルが含まれます。レスポンダーは、セキュリティラベルの1つを正確に選択する必要があります。
A responder that selected a TS with TS_SECLABEL MUST use the Security Label for all selector operations on the resulting TS. It MUST NOT select a TS_SECLABEL without using the specified Security Label, even if it deems the Security Label optional, as the initiator has indicated (and expects) that the Security Label will be set for all traffic matching the negotiated TS.
TS_SECLABELでTSを選択したレスポンダーは、結果のTSのすべてのセレクター操作にセキュリティラベルを使用する必要があります。イニシエーターが交渉されたTSと一致するすべてのトラフィックに対してセキュリティラベルが設定されていることを示している(および予想)にとって、セキュリティラベルがオプションであると見なされていても、指定されたセキュリティラベルを使用せずにTS_SECLABELを選択してはなりません。
If the TSi payload contains a Traffic Selector with TS Type TS_SECLABEL (along with another TS Type), the responder MUST create each TS response for the other TS Types using its normal rules specified for each of those TS Types, such as narrowing them following the rules specified for that TS Type and then adding exactly one for the TS Type of TS_SECLABEL to the TS payload(s). If this is not possible, it MUST return a TS_UNACCEPTABLE Error Notify payload.
TSIペイロードにTSタイプTS_SECLABEL(別のTSタイプとともに)を持つトラフィックセレクターが含まれている場合、レスポンダーは、それらの各TSタイプに指定された通常のルールを使用して、他のTSタイプの各TS応答を作成する必要があります。そのTSタイプに指定されたルールは、TSタイプのTS_SECLABELにTSペイロードに1つを正確に追加します。これが不可能な場合は、TS_UNACTESPELTエラーがペイロードに通知する必要があります。
If the Security Label TS Type is optional from a configuration point of view, an initiator will add the TS_SECLABEL to the TSi/TSr payloads. If the responder replies with TSi/TSr payloads that include the TS_SECLABEL, then the Child SA MUST be created and include the negotiated Security Label. If the responder did not include a TS_SECLABEL in its response, then the initiator (which deemed the Security Label optional) will install the Child SA without including any Security Label. If the initiator required the TS_SECLABEL, it MUST NOT install the Child SA and it MUST send a Delete notification for the Child SA so the responder can uninstall its Child SA.
セキュリティラベルTSタイプが構成の観点からオプションである場合、イニシエーターはTS_SECLABELをTSI/TSRペイロードに追加します。ResponderがTS_Seclabelを含むTSI/TSRペイロードで応答した場合、子SAを作成し、交渉されたセキュリティラベルを含める必要があります。応答者がその応答にTS_Seclabelを含めなかった場合、イニシエーター(セキュリティラベルと見なされる)は、セキュリティラベルを含めずにChild SAをインストールします。イニシエーターがTS_SECLABELを必要とした場合、子SAをインストールしてはならず、レスポンダーが子SAをアンインストールできるように、子SAの削除通知を送信する必要があります。
An initiator could send the following:
イニシエーターは以下を送信できます。
TSi = ((17,24233,198.51.100.12-198.51.100.12),
(0,0,198.51.100.0-198.51.100.255),
(0,0,192.0.2.0-192.0.2.255),
TS_SECLABEL1, TS_SECLABEL2)
TSr = ((17,53,203.0.113.1-203.0.113.1),
(0,0,203.0.113.0-203.0.113.255),
TS_SECLABEL1, TS_SECLABEL2)
Figure 2: Initiator TS Payloads Example
図2:イニシエーターTSペイロードの例
The responder could answer with the following:
レスポンダーは以下で答えることができます。
TSi = ((0,0,198.51.100.0-198.51.100.255),
TS_SECLABEL1)
TSr = ((0,0,203.0.113.0-203.0.113.255),
TS_SECLABEL1)
Figure 3: Responder TS Payloads Example
図3:レスポンダーTSペイロードの例
It would be unlikely that the traffic for TSi and TSr would have a different Security Label, but this specification allows this to be specified. If the initiator does not support this and wants to prevent the responder from picking different labels for the TSi/TSr payloads, it should attempt a Child SA negotiation and start with the first Security Label only. Upon failure, the initiator should retry a new Child SA negotiation with only the second Security Label.
TSIとTSRのトラフィックが異なるセキュリティラベルを持つ可能性は低いでしょうが、この仕様によりこれを指定することができます。イニシエーターがこれをサポートせず、レスポンダーがTSI/TSRペイロードのさまざまなラベルを選択できないようにしたい場合、Child SAの交渉を試み、最初のセキュリティラベルのみから始める必要があります。故障すると、イニシエーターは、2番目のセキュリティラベルのみを使用して、新しい子SAの交渉を再試行する必要があります。
If different IP ranges can only use different specific Security Labels, then these should be negotiated in two different Child SA negotiations. In the example above, if the initiator only allows 192.0.2.0/24 with TS_SECLABEL1 and 198.51.100.0/24 with TS_SECLABEL2, then it MUST NOT combine these two ranges and security labels into one Child SA negotiation.
異なるIP範囲で異なる特定のセキュリティラベルのみを使用できる場合、これらは2つの異なる子SAの交渉で交渉する必要があります。上記の例では、イニシエーターがTS_SECLABEL1を備えた192.0.2.0/24およびTS_SECLABEL2を含む192.0.2.0/24のみを許可する場合、これら2つの範囲とセキュリティラベルを1人の子SA SAネゴシエーションに組み合わせてはなりません。
It is assumed that the Security Label can be matched by the IKE implementation to its own configured value, even if the IKE implementation itself cannot interpret the Security Label value.
IKE実装自体がセキュリティラベル値を解釈できない場合でも、セキュリティラベルはIKEの実装によって独自の構成値に一致すると想定されています。
A packet that matches an SPD entry for all components, except the Security Label, would be treated as "not matching". If no other SPD entries match, the (mislabeled) traffic might end up being transmitted in the clear. It is presumed that other MAC methods are in place to prevent mislabeled traffic from reaching the IPsec subsystem or that the IPsec subsystem itself would install a REJECT/ DISCARD rule in the SPD to prevent unlabeled traffic otherwise matching a labeled security SPD rule from being transmitted without IPsec protection.
セキュリティラベルを除くすべてのコンポーネントのSPDエントリに一致するパケットは、「一致しない」と扱われます。他のSPDエントリが一致しない場合、(誤った)トラフィックがクリアに送信される可能性があります。誤ったラベルのトラフィックがIPSECサブシステムに到達するのを防ぐために他のMACメソッドが整っているか、IPSECサブシステム自体がSPDに拒否/廃棄ルールをインストールして、ラベル付きセキュリティSPDルールが送信されないようにすることを防ぐために、ラベル付けされていないトラフィックを防ぐと推定されます。IPSEC保護。
IANA has added a new entry in the "IKEv2 Traffic Selector Types" registry [RFC7296] as follows.
IANAは、次のように「IKEV2トラフィックセレクタータイプ」レジストリ[RFC7296]に新しいエントリを追加しました。
+=======+=============+===========+
| Value | TS Type | Reference |
+=======+=============+===========+
| 10 | TS_SECLABEL | RFC 9478 |
+-------+-------------+-----------+
Table 1: IKEv2 Traffic Selector Types Registry
表1:IKEV2トラフィックセレクタータイプレジストリ
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate
Requirement Levels", BCP 14, RFC 2119,
DOI 10.17487/RFC2119, March 1997,
<https://www.rfc-editor.org/info/rfc2119>.
[RFC7296] Kaufman, C., Hoffman, P., Nir, Y., Eronen, P., and T.
Kivinen, "Internet Key Exchange Protocol Version 2
(IKEv2)", STD 79, RFC 7296, DOI 10.17487/RFC7296, October
2014, <https://www.rfc-editor.org/info/rfc7296>.
[RFC8174] Leiba, B., "Ambiguity of Uppercase vs Lowercase in RFC
2119 Key Words", BCP 14, RFC 8174, DOI 10.17487/RFC8174,
May 2017, <https://www.rfc-editor.org/info/rfc8174>.
[LABELED-IPSEC]
Latten, J., Quigley, D., and J. Lu, "Security Label
Extension to IKE", Work in Progress, Internet-Draft,
draft-jml-ipsec-ikev2-security-label-01, 28 January 2011,
<https://datatracker.ietf.org/doc/html/draft-jml-ipsec-
ikev2-security-label-01>.
[RFC4301] Kent, S. and K. Seo, "Security Architecture for the
Internet Protocol", RFC 4301, DOI 10.17487/RFC4301,
December 2005, <https://www.rfc-editor.org/info/rfc4301>.
[RFC5570] StJohns, M., Atkinson, R., and G. Thomas, "Common
Architecture Label IPv6 Security Option (CALIPSO)",
RFC 5570, DOI 10.17487/RFC5570, July 2009,
<https://www.rfc-editor.org/info/rfc5570>.
A large part of the introduction text was taken verbatim from [LABELED-IPSEC], whose authors are Joy Latten, David Quigley, and Jarrett Lu. Valery Smyslov provided valuable input regarding IKEv2 Traffic Selector semantics.
導入テキストの大部分は[Labeled-Ipsec]から逐語的に撮影されました。著者はJoy Latten、David Quigley、Jarrett Luです。Valery Smyslovは、IKEV2トラフィックセレクターのセマンティクスに関する貴重な入力を提供しました。
Paul Wouters
Aiven
Email: paul.wouters@aiven.io
Sahana Prasad
Red Hat
Email: sahana@redhat.com